ZiMSK NAT, PAT, ACL 1

Podobne dokumenty
ZADANIE.07 Różne (tryb tekstowy i graficzny) 2h

ZADANIE.07 Różne (tryb tekstowy i graficzny) 2h

ZiMSK. Routing statyczny, ICMP 1

ZADANIE.05 Tworzenie sieci VLAN (VLAN, trunk, inter-vlan routing) 2,5h

ZADANIE.03 Routing dynamiczny i statyczny (OSPF, trasa domyślna) 1,5h

OUTSIDE /24. dmz. outside /24. security- level 50. inside security- level /16 VLAN /

ZADANIE.10 Cisco.&.Juniper DHCP (Router, Firewall)

ZADANIE.10 DHCP (Router, ASA) 1,5h

ZiMSK. VLAN, trunk, intervlan-routing 1

ZADANIE.04 Cisco.&.Juniper Translacja adresów (NAT, PAT) 1,5h

Zadanie1: Odszukaj w Wolnej Encyklopedii Wikipedii informacje na temat NAT (ang. Network Address Translation).

PBS. Wykład Filtrowanie pakietów 2. Translacja adresów 3. authentication-proxy

Sieci komputerowe - administracja

ZADANIE.05 Cisco.&.Juniper Tworzenie sieci VLAN (VLAN, trunk, inter-vlan routing)

Translacja adresów - NAT (Network Address Translation)

ZADANIE.03 Cisco.&.Juniper Routing dynamiczny i statyczny (OSPF, trasa domyślna) 1,5h

ZiMSK. Routing dynamiczny 1

ZiMSK dr inż. Łukasz Sturgulewski, DHCP

Sieci Komputerowe Translacja adresów sieciowych

NAT/NAPT/Multi-NAT. Przekierowywanie portów

DR INŻ. ROBERT WÓJCIK DR INŻ. JERZY DOMŻAŁ

Wykład Nr Sieci bezprzewodowe 2. Monitorowanie sieci - polecenia

Adresy w sieciach komputerowych

ZiMSK. Charakterystyka urządzeń sieciowych: Switch, Router, Firewall (v.2012) 1

Opis ogólny ustawień NAT na podstawie Vigora serii 2700

pasja-informatyki.pl

Konfiguracja połączenia G.SHDSL punkt-punkt w trybie routing w oparciu o routery P-791R.

Budowa i konfiguracja sieci komputerowej cz.2

ZADANIE.05 Cisco.&.Juniper Tworzenie sieci VLAN (VLAN, trunk, inter-vlan routing) 2,5h

Zadanie OUTSIDE /24. dmz. outside security- level /24. inside security- level /16 VLAN

Podstawy Transmisji Danych. Wykład IV. Protokół IPV4. Sieci WAN to połączenia pomiędzy sieciami LAN

ZiMSK. mgr inż. Artur Sierszeń mgr inż. Łukasz Sturgulewski ZiMSK 1

PBS. Wykład Podstawy routingu. 2. Uwierzytelnianie routingu. 3. Routing statyczny. 4. Routing dynamiczny (RIPv2).

Protokoły sieciowe - TCP/IP

Wykład 2: Budowanie sieci lokalnych. A. Kisiel, Budowanie sieci lokalnych

Akademickie Centrum Informatyki PS. Wydział Informatyki PS

7. ACL, NAT, PAT, DHCP

BRINET Sp. z o. o.

Zakresy prywatnych adresów IPv4: / / /24

SIECI KOMPUTEROWE. Dariusz CHAŁADYNIAK Józef WACNIK

ADRESY PRYWATNE W IPv4

ZADANIE.02 Podstawy konfiguracji (interfejsy) Zarządzanie konfiguracjami 1,5h

PBS. Wykład Zabezpieczenie przełączników i dostępu do sieci LAN

Warstwa sieciowa. Model OSI Model TCP/IP. Aplikacji. Aplikacji. Prezentacji. Sesji. Transportowa. Transportowa

MODUŁ: SIECI KOMPUTEROWE. Dariusz CHAŁADYNIAK Józef WACNIK

Zapory sieciowe i techniki filtrowania danych

PBS. Wykład Organizacja zajęć. 2. Podstawy obsługi urządzeń wykorzystywanych podczas laboratorium.

MODEL WARSTWOWY PROTOKOŁY TCP/IP

8. Konfiguracji translacji adresów (NAT)

Zapory sieciowe i techniki filtrowania.

ARP Address Resolution Protocol (RFC 826)

Lab 9 Konfiguracja mechanizmu NAT (Network Address Translation)

Sieci komputerowe. Tadeusz Kobus, Maciej Kokociński Instytut Informatyki, Politechnika Poznańska

Sieci Komputerowe. Wykład 1: TCP/IP i adresowanie w sieci Internet

(źródło: pl.wikipedia.pl) (źródło:

Plan wykładu. Warstwa sieci. Po co adresacja w warstwie sieci? Warstwa sieci

Na podstawie: Kirch O., Dawson T. 2000: LINUX podręcznik administratora sieci. Wydawnictwo RM, Warszawa. FILTROWANIE IP

Lab 2 ĆWICZENIE 2 - VLAN. Rodzaje sieci VLAN

ZiMSK. Konsola, TELNET, SSH 1

ZADANIE.08 RADIUS (authentication-proxy, IEEE 802.1x) 2h

LABORATORIUM SIECI KOMPUTEROWYCH (compnet.et.put.poznan.pl)

4. Podstawowa konfiguracja

ZADANIE.08 Cisco.&.Juniper RADIUS (authentication-proxy, IEEE 802.1x)

Zarządzanie Jakością Usług w Sieciach Teleinformatycznych

Model sieci OSI, protokoły sieciowe, adresy IP

NAT (Network Address Translation)

Routing i protokoły routingu

host, aby móc działać w Internecie, host musi otrzymać globalnie unikatowy adres

System operacyjny Linux

Router programowy z firewallem oparty o iptables

BROADBAND INTERNET ROUTER- INSTRUKCJA OBSŁUGI

ZADANIE.09 Syslog, SNMP (Syslog, SNMP) 1,5h

DR INŻ. ROBERT WÓJCIK DR INŻ. JERZY DOMŻAŁ ADRESACJA W SIECIACH IP. WSTĘP DO SIECI INTERNET Kraków, dn. 24 października 2016r.

Laboratorium - Używanie programu Wireshark do obserwacji mechanizmu uzgodnienia trójetapowego TCP

Zadanie OUTSIDE /24. dmz. outside /24. security- level /16

Systemy operacyjne i sieci komputerowe Szymon Wilk Adresowanie w sieciach Klasy adresów IP a) klasa A

WYŻSZA SZKOŁA ZARZĄDZANIA I MARKETINGU BIAŁYSTOK, ul. Ciepła 40 filia w EŁKU, ul. Grunwaldzka

Ćwiczenie Konfiguracja dynamicznej i statycznej translacji NAT

Programowanie sieciowe

ZADANIE.07. Procesy Bezpieczeństwa Sieciowego v.2011alfa ZADANIE.07. VPN RA Virtual Private Network Remote Access (Router) - 1 -

Zestaw ten opiera się na pakietach co oznacza, że dane podczas wysyłania są dzielone na niewielkie porcje. Wojciech Śleziak

Konfigurowanie sieci VLAN

Stos protokołów TCP/IP (ang. Transmission Control Protocol/Internet Protocol)

SIECI KOMPUTEROWE Adresowanie IP

Administracja sieciami LAN/WAN

ZADANIE.02 Korporacyjne Sieci Bez Granic v.2013 ZADANIE.02. VPN L2L Virtual Private Network site-to-site (ASA) - 1 -

Konfiguracja bezpiecznego tunelu IPSec VPN w oparciu o bramę ZyWall35 i klienta ZyXEL RSC (Remote Security Client).

IP: Maska podsieci: IP: Maska podsieci: Brama domyślna:

Tomasz Greszata - Koszalin

Instrukcja konfiguracji funkcji skanowania

Struktura adresu IP v4

Sieci komputerowe - Wstęp do intersieci, protokół IPv4

Komunikacja w sieciach komputerowych

Protokół ARP Datagram IP

Telefon AT 530 szybki start.

Funkcje warstwy sieciowej. Podstawy wyznaczania tras. Dostarczenie pakietu od nadawcy od odbiorcy (RIP, IGRP, OSPF, EGP, BGP)

ZADANIE.08. RADIUS (authentication-proxy, IEEE 802.1x) 2h

Bazy Danych i Usługi Sieciowe

Sieci Komputerowe. Zadania warstwy sieciowej. Adres IP. Przydzielanie adresów IP. Adresacja logiczna Trasowanie (ang. routing)

Księgarnia PWN: Mark McGregor Akademia sieci cisco. Semestr szósty

Transkrypt:

ZiMSK dr inż. Łukasz Sturgulewski, luk@kis.p.lodz.pl, http://luk.kis.p.lodz.pl/ dr inż. Artur Sierszeń, asiersz@kis.p.lodz.pl dr inż. Andrzej Frączyk, a.fraczyk@kis.p.lodz.pl NAT, PAT, ACL 1

Wykład Translacja adresów sieciowych: NAT PAT Listy kontroli dostępu: ACL NAT, PAT, ACL 2

NAT Translacja adresów sieciowych - NAT (ang. Network Address Translation) została opisana w dokumencie RFC 1631. Wyróżniamy dwa typy translacji: statyczny dynamiczny NAT, PAT, ACL 3

Adresy IP publiczne i prywatne NAT, PAT, ACL 4

Statyczna translacja adresów Translacja statyczna polega na odwzorowaniu adresu sieci wewnętrznej na adres unikatowy w skali światowej w stosunku 1:1, tzn. jednemu adresowi w sieci lokalnej odpowiada jeden adres unikatowy w skali globalnej. Jej stosowanie jest uzasadnione, gdy posiadamy niewiele hostów w sieci lokalnej i odpowiednią liczbę adresów globalnych. Adres sieci lokalnej Adres globalny 192.168.1.3 212.110.254.12 192.168.1.5 212.110.254.15 192.168.1.6 212.110.254.19 192.168.1.34 212.110.254.6 192.168.1.14 212.110.254.8 NAT, PAT, ACL 5

Statyczna translacja adresów NAT, PAT, ACL 6

Translacja adresów Widok nagłówka pakietu IP przed translacją: Wersja Długość nagłówka Typ obsługi Długość całkowita Identyfikacja Znacznik Przesunięcie fragmentu Czas życia Typ Suma kontrolna nagłówka 192.168.1.14 212.51.207.68 Opcje IP Uzupełnienie Początek danych NAT, PAT, ACL 7

Translacja adresów Widok nagłówka pakietu IP po translacji: Wersja Długość nagłówka Typ obsługi Długość całkowita Identyfikacja Znacznik Przesunięcie fragmentu Czas życia Typ Suma kontrolna nagłówka 212.110.254.8 212.51.207.68 Opcje IP Uzupełnienie Początek danych NAT, PAT, ACL 8

Translacja adresów Widok nagłówka pakietu IP przed translacją: Wersja Długość nagłówka Typ obsługi Długość całkowita Identyfikacja Znacznik Przesunięcie fragmentu Czas życia Typ Suma kontrolna nagłówka 212.51.207.68 212.110.254.8 Opcje IP Uzupełnienie Początek danych NAT, PAT, ACL 9

Translacja adresów Widok nagłówka pakietu IP po translacji: Wersja Długość nagłówka Typ obsługi Długość całkowita Identyfikacja Znacznik Przesunięcie fragmentu Czas życia Typ Suma kontrolna nagłówka 212.51.207.68 192.168.1.14 Opcje IP Uzupełnienie Początek danych NAT, PAT, ACL 10

Dynamiczna translacja adresu sieciowego Dynamiczna translacja adresu sieciowego polega na odwzorowaniu adresów sieci lokalnej na publiczne adresy globalne, w szczególności na pojedynczy publiczny adres globalny. Wyróżniamy dwa zasadnicze typy dynamicznej translacji adresów sieciowych: translacja adresów sieciowych (NAT ang. Network Address Translation) translacja adresów portów (PAT ang. Port Address Translation) NAT, PAT, ACL 11

Dynamiczna translacja adresu sieciowego Dodatkowo translacje adresów sieciowych dzielimy na: SNAT (ang. Source Network Address Translation) translacja adresu źródłowego DNAT (ang. Destination Network Address Translation) translacja adresu docelowego NAT, PAT, ACL 12

SNAT SNAT jest to technika polegająca na zmianie adresu źródłowego w wyniku translacji adresu na podstawie wpisów w tablicy translacji. Stosowana jest ona powszechnie w sieciach lokalnych, które maja jeden bądź kilka przydzielonych adresów globalnych. Pakiet wysłany z hosta w sieci lokalnej przychodzi do routera, gdzie na podstawie wpisu w tablicy translacji następuje zmiana adresu źródłowego z adresu tego hosta na adres zdefiniowany w tablicy translacji. Może być to jeden z wielu adresów zdefiniowanych w puli. NAT, PAT, ACL 13

SNAT NAT, PAT, ACL 14

DNAT DNAT jest to technika polegająca na zmianie adresu docelowego w wyniku translacji adresu na podstawie wpisów w tablicy translacji. Stosowana jest często w przypadku chęci posiadania dostępu do hosta/serwera znajdującego się wewnątrz sieci lokalnej, z np. hosta w Internecie. Pakiet wysłany z hosta znajdującego sie poza siecią lokalną dochodzi do urządzenia obsługującego NAT, gdzie na podstawie wpisu w tablicy translacji następuje zmiana adresu docelowego w pakiecie na adres hosta/serwera znajdującego się w sieci lokalnej. NAT, PAT, ACL 15

DNAT NAT, PAT, ACL 16

Translacja adresów portów (PAT) PAT jest to mechanizm polegający na odwzorowaniu wielu adresów prywatnych na jeden adres publiczny. W mechanizmie tym dokonywana jest zmiana adresu źródłowego na adres (w tym może być to adres rutera/bramy). Następuje próba zachowania pierwotnego numeru portu, na którym aplikacja próbuje uzyskać połączenie z serwerem/hostem znajdującym sie w Internecie. W przypadku, gdy dany port jest juz wykorzystywany następuje zmiana numeru portu na kolejny z odpowiedniej grupy: 1-511;512-1023;1024-65535. NAT, PAT, ACL 17

PAT NAT, PAT, ACL 18

Charakterystyka NAT (bezpieczeństwo) Zastosowanie translacji adresów pozwala na zabezpieczenie sie przed rozpowszechnianiem informacji o topologii sieci LAN do sieci WAN. Do sieci WAN nie przedostają się żadne informacje o sposobie adresowania w sieci lokalnej, a także o topologii sieci lokalnej. Z sieci lokalnej do sieci WAN przedostają sie jedynie informacje o adresie zewnętrznym, czyli adresie przydzielonym od usługodawcy internetowego. Stosując translację adresów nie mamy możliwości śledzenia pakietu na całej ścieżce od nadawcy do odbiorcy. NAT, PAT, ACL 19

Charakterystyka NAT (adresy IPv4) We wczesnych latach istnienia sieci Internet, kiedy tylko uniwersytety i instytucje rządowe go używały, cztery miliardy adresów IPv4 wydawały się być granicą nie do osiągnięcia. W chwili obecnej szacuje się, że każdego dnia przybywa kilkanaście tysięcy nowych hostów podłączonych do sieci. NAT, PAT, ACL 20

Charakterystyka NAT (adresy IPv4) W obecnej sytuacji, translacja adresów pozwala na znaczne zredukowanie zapotrzebowania na adresy publiczne. W przypadku sieci np. ze 100 hostami, aby wszystkie hosty miały dostęp do sieci Internet powinniśmy każdemu hostowi przypisać adres publiczny. Jeśli zastosowalibyśmy translację adresów, to moglibyśmy ustawić jeden adres wyjściowy do sieci zewnętrznej dla całej sieci LAN (100 hostów). Pozwoliłoby to na zaoszczędzenie aż 99 adresów publicznych, co w obecnej sytuacji, gdy wyczerpują sie adresy publiczne pozwala na podłączenie znacznie większej ilości hostów do Internetu. NAT, PAT, ACL 21

Charakterystyka NAT (dostęp do LAN z zewnątrz) Stosowanie techniki NAT powoduje to, że nie będziemy mogli umieścić serwera w sieci LAN, tak, by był on widoczny z zewnątrz (z sieci WAN). Administrator sieci LAN, musi ustawić na routerze odpowiednią translację DNAT. NAT, PAT, ACL 22

Charakterystyka NAT (DNS) W przypadku stosowania DNAT, wpis w DNS prowadzi do adresu zewnętrznego, który następnie zostanie przez bramę przetłumaczony na adres z sieci LAN. NAT, PAT, ACL 23

Charakterystyka NAT (zmiana ISP) Zastosowanie translacji adresów pozwala na zaoszczędzenie kosztów. W przypadku niestosowania translacji adresów i zmiany usługodawcy dostarczającego nam Internet musimy zmienić adresy na wszystkich hostach, które mają mieć dostęp do Internetu. Operacja taka zabiera sporo czasu i generuje niepotrzebne koszty. W przypadku zastosowania translacji adresów cała operacja zajmuje zaledwie chwile wystarczy zmodyfikować konfigurację routera przez co koszty tej czynności są ograniczone do minimum. NAT, PAT, ACL 24

Charakterystyka NAT (trasy alternatywne) Dzięki zastosowaniu translacji możemy skierować ruch generowany przez różne usługi na różne adresy zewnętrzne, co pozwala na zoptymalizowanie obciążenia łącz. Są to tak zwane pule równoważące połączenie. Możemy dzięki temu także monitorować, która z usług (protokół) (SMTP, POP3, FTP, HTTP) generuje największy ruch. NAT, PAT, ACL 25

Charakterystyka NAT (opóźnienia) Niestety zastosowanie translacji adresów powoduje także wprowadzanie opóźnień. Czas przepływu pakietu wydłuża sie ze względu na to, że przy transmisji adres źródłowy w każdym pakiecie musi zostać zamieniony (na routerze brzegowym) na inny - zewnętrzny. Podobnie jeśli chodzi o adresy źródłowe przy pakietach powrotnych, wtedy adres w polu adresu docelowego zmieniany jest na ten, który został odczytany z tablicy translacji. Powoduje to, że opóźnienia transmisji w przypadku niektórych sieci mogą być znaczne. NAT, PAT, ACL 26

Charakterystyka NAT (wiele serwerów tej samej usługi w LAN) W przypadku gdy w sieci LAN istniej wiele serwerów tej samej usługi i tylko jeden adres zewnętrzny, jeden z serwerów nie będzie mógł korzystać ze swojego standardowego portu (widok z sieci zewnętrznych). NAT, PAT, ACL 27

Charakterystyka NAT (FTP, VoIP, VPN, ) W przypadku translacji adresów, szczególnie DNAT, mogą pojawić się różnego rodzaju problemy z działaniem innych protokołów, które przenoszone przez zmienione pakiety IP mogą nie działać prawidłowo np.: FTP, VoIP, VPN. NAT, PAT, ACL 28

Problemy z komunikacją w sieci laboratoryjnej OUTSIDE 200. 200.200.0/24 Rozwiązanie: outside security- level 0 inside security- level 100 192. 168.1.0/24 dmz security- level 50 176.16.0.0/16 Routing dynamiczny Routing statyczny + NAT 10.0.0.0/8 VLAN1 10.1.0.0/16 10.10.0.0/16 VLAN 10 10.20.0.0/16 VLAN 20 NAT, PAT, ACL 29

SNAT w sieci laboratoryjnej OUTSIDE 200. 200.200.0/24 dmz security- level 50 outside security- level 0 192. 168.1.0/24 inside security- level 100 176.16.0.0/16 VLAN1 10.0.0.0/8 10.1.0.0/16 10.10.0.0/16 VLAN 10 10.20.0.0/16 VLAN 20 NAT, PAT, ACL 30

DNAT w sieci laboratoryjnej NAT, PAT, ACL 31

Access Control List Idea działania list dostępu: NAT, PAT, ACL 32

ACL Etapy tworzenia ACL: Definiowanie listy dostępu Dodanie listy dostępu do interfejsu NAT, PAT, ACL 33

ACL definiowanie Definicja warunku (dopasowania) rozszerzonej listy dostępu: ASA(config)# access-list nr_listy extended <permit deny> protokół adres_źródła maska_źródła adres_celu maska_celu eq nr_portu Router(config)# access-list nr_listy <permit deny> protokół adres_źródła maska_źródła adres_celu maska_celu eq nr_portu NAT, PAT, ACL 34

ACL definiowanie Jeśli chcemy określić każdy, dowolny adres i maskę sieci można zastąpić słowem any (any = 0.0.0.0 0.0.0.0). Jeśli chcemy do listy dostępu dodać wiele warunków (dopasowań) należy w następnym poleceniu access-list podać ten sam numer listy. Kolejność kolejnych warunków (dopasowań) jest ważna, zgodnie z nią będą sprawdzane kolejne dopasowania. NAT, PAT, ACL 35

ACL dodanie do interfejsu Dodanie listy dostępu do interfejsu: ASA(config)# access-group nr_listy <in out> interface nazwa_interfejsu Router(config-if)# ip access-group nr_listy <in out> NAT, PAT, ACL 36

ACL weryfikacja ASA# show interface ASA# show access-list Router# show ip interface Router# show access-list NAT, PAT, ACL 37

ZiMSK KONIEC NAT, PAT, ACL 38

2024 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres